Il Garante colpisce ancora sul periodo di conservazione dei dati di marketing

Il provvedimento è interessante in quanto l’Autorità, fra i vari profili toccati, si sofferma in particolare sul tema legato al termine di conservazione dei dati personali raccolti per attività di marketing e di profilazione al fine di rammentare l’importanza e l’attualità delle indicazioni fornite nel provvedimento "Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” (di seguito, le “linee guida Fidelity”) del 24 febbraio 2005. Parrebbero ancora dirimenti, seppur non vincolanti, i termini di conservazione di 24 mesi per i dati personali trattati in occasione di campagne promozionali e di 12 mesi per i dati personali trattati per finalità di profilazione.

Oggetto dell’attenzione dell’Autorità è stato, in particolare, il modulo per la sottoscrizione degli abbonamenti al servizio di trasporto pubblico locale offerto dalla Società. Quest’ultima, infatti, avrebbe omesso di descrivere chiaramente le finalità del trattamento dei dati successivo alla sottoscrizione del modulo – in particolare per quel che concerne l’identificazione e distinzione delle finalità di servizio – e, altresì, dì informare chiaramente l’utente sulla facoltà di svolgimento di attività di marketing, di indagini di c.d. customer satisfaction (quali, ad esempio, ricerche di mercato e sondaggi di gradimento del servizio di trasporto) e di invio di SMS attinenti lo status del servizio erogato dalla Società. In più, nell’informativa richiamata in calce al predetto modulo non sarebbero stati presenti tutti gli elementi richiesti dall’art. 13 GDPR.

Partendo dalle contestazioni mosse in riferimento al trattamento dei dati personali per finalità promozionali, l’Autorità ha contestato alla Società la mancata trasparenza relativa alla raccolta del consenso necessario per il perseguimento delle attività legate al marketing, alla customer satisfaction e all’invio di SMS da parte per aggiornare il cliente su eventuali scioperi o particolari modifiche programmate del servizio di trasporto erogato. Infatti, secondo quanto emerso dall’istruttoria condotta, la Società avrebbe indicato, in maniera fuorviante e poco chiara, che “il mancato consenso al trattamento dei dati per le attività indicate nelle lettere b e c comporterà l’impossibilità per la Società di effettuarle e quindi l’impossibilità di accedere ai servizi sopra indicati”. 

L’Autorità contesta il fatto che la formulazione relativa ai “servizi sopra indicati”, così come adottata dalla Società, che peraltro risultava essere una definizione relativa alle attività di trattamento legate alla customer satisfaction e all’invio degli SMS informativi sullo status di eventuali scioperi o modifiche programmate dell’itinerario di viaggio, avrebbe lasciato intendere agli interessati che il conferimento del consenso al trattamento dei dati personali sarebbe stato necessario per ottenere la tessera di viaggio e sottoscrivere un abbonamento al servizio. Tale espressione ambigua, in sostanza, avrebbe potuto indurre l’interessato a ritenere che il consenso al trattamento fosse necessario per poter ottenere la tessera e fruire dei servizi di trasporto, e non – al contrario – coincidente con la libera volontà di beneficiare delle attività promozionali e informative.

In seconda battuta, la Società avrebbe altresì omesso di indicare, sia nel modulo contrattuale di richiesta della tessera di viaggio che nell’informativa allegata, il diritto dell’interessato di revocare il consenso prestato in qualsiasi momento, senza che la predetta revoca pregiudicasse la liceità del trattamento basato sul consenso originariamente fornito. Oltretutto, nemmeno il riferimento al diritto degli interessati di opporsi al trattamento dei propri dati personali per finalità di marketing diretto sarebbe stato portato all’attenzione degli stessi all’interno dell’informativa, in quanto la Società si sarebbe limitata a riportare il testo dell’ormai abrogato art. 7 del D.Lgs 196/2003 (meglio conosciuto come Codice Privacy).

Nemmeno la finalità di trattamento legata alla possibilità per gli abbonati di ricevere, in via facoltativa, gli SMS informativi sull’esistenza di possibili scioperi o modifiche programmate dell’itinerario di viaggio sarebbe stato correttamente e esaustivamente descritta all’interno dell’informativa erogata: secondo l’Autorità, quest’ultima avrebbe omesso di indicare in maniera precisa e puntuale le effettive circostanze al ricorrere delle quali gli interessati avrebbero potuto ricevere tali SMS, con la conseguente compromissione della possibilità per gli stessi di comprendere le finalità del trattamento effettivamente perseguite (vista, in particolare, la descrizione alquanto generica).

Sul termine di conservazione dei dati personali, che probabilmente rappresenta il passaggio più interessante del provvedimento, l’Autorità ha contestato alla Società di aver adottato un termine sproporzionato e non giustificato per quel che concerne la conservazione dei dati personali necessari per il perseguimento delle attività di marketing e di customer satisfaction. La Società, infatti, avrebbe individuato un termine di conservazione pari a 10 anni dalla raccolta dei dati, che è risultato essere lo stesso indicato per la conservazione dei dati necessari all’esecuzione del contratto di trasporto e del relativo servizio.

L’Autorità ha criticato questo approccio, ritenendo la scelta di tale data retention non congrua rispetto alla finalità perseguita, e ha in particolare richiamato le linee guida Fidelity: al fine di definire i tempi di conservazione dei dati personali oggetto di attività di marketing e profilazione, restano ancora valide le tempistiche dei 24 mesi per i dati relativi al marketing e dei 12 mesi per i dati relativi alla profilazione. Infatti, secondo l’opinione dell’Autorità, “non si può certo giungere alla conclusione che un titolare, in base a tale principio (cfr. di accountability) – che necessita di essere contemperato con gli altri fondamentali principi previsti dal Regolamento- possa scostarsi in modo eccessivo rispetto alle suddette previsioni, senza poter incorrere nella violazione del principio di limitazione della conservazione del GDPR”. 

Anche la mera indicazione di un tempo di conservazione generico (“fino alla data della revoca del consenso”) non può ritenersi rispettoso delle prescrizioni del GDPR, in quanto l’interessato potrebbe anche non mutare mai la propria volontà o mantenerla invariata sine die.

Con specifico riferimento all’informativa erogata, invece, l’Autorità avrebbe accertato la mancanza:

Per concludere, è bene che i titolari del trattamento tengano a mente l’obbligo normativo di adottare un’informativa chiara e intellegibile, che sia particolarmente trasparente rispetto a tutte le finalità perseguite. Nel fare ciò, e con specifico riferimento ai casi di trattamenti legati allo svolgimento di attività promozionali, occorre sincerarsi di aver raccolto un consenso conforme ai principi stabiliti dal GDPR, di descrivere esaustivamente e tutelare concretamente i diritti degli interessati e di adottare tempi di conservazione dei dati in conformità alle disposizioni delle linee guida Fidelity, che ancora oggi l’Autorità ritiene fondamentali.